See artikkel on masintõlke peegelartikkel, palun klõpsake siia, et hüpata algse artikli juurde.

Architect_Programmer_Code Põllumajandusvõrgustik»Arhitekt Programmeerimine Tehniline vestlus Takista CSRF-rünnakuid küpsise SameSite omadusele
Vaade: 7822|Vastuse: 1

Takista CSRF-rünnakuid küpsise SameSite omadusele

[Kopeeri link]
Postitatud 2022-4-17 20:24:47 | | | |
SameSite omadus

Alates Chrome 51-st on brauseri küpsistele lisatud uus SameSite'i atribuut, et takistada CSRF-rünnakuid ja kasutajate jälgimist (pahatahtlik kolmandate osapoolte küpsiste omandamine) ning piirata kolmandate osapoolte küpsiseid, vähendades seeläbi turvariske.

SameSite on määratletud RFC6265bis-is:Hüperlingi sisselogimine on nähtav.

CSRF rünnaku kokkuvõte kohta:

ASP.NET CSRF rünnak Ajax taotleb kapseldamist
https://www.itsvse.com/thread-8077-1-1.html

mvc ajax koos AntiForgeryTokeniga, et takistada CSRF rünnakuid
https://www.itsvse.com/thread-4207-1-1.html

Analüüsi QQ kiiret sisselogimisprotokolli ja rakenda "CSRF"
https://www.itsvse.com/thread-3571-1-1.html
SameSite omadust saab määrata kolmele väärtusele:Strict、Lax、None

Range: Rangelt keelata kolmandatel osapooltel küpsiste hankimine ning mitte mingil juhul küpsiseid saata rist-saidi puhul; Küpsised lisatakse ainult siis, kui praeguse lehe URL vastab päringu sihtmärgile. See reegel on liiga range ja võib põhjustada väga halba kasutajakogemust. Näiteks, kui praegusel veebilehel on GitHubi link, siis kasutajatel ei ole GitHubi küpsiseid, kui nad hüppele klõpsavad, ning hüpe on alati olnud sisse logimata.

Lax: Takistada ristsaidilist suhtlust, enamasti on küpsiste hankimine keelatud, välja arvatud GET-päringud (lingid, eellaadimised, GET vormid), mis suunduvad sihtaadressile; Kui Strict või Lax on seatud, likvideeritakse CSRF rünnakud sisuliselt. Muidugi on see tingimusel, et kasutajabrauser toetab SameSite omadust.

SameSite atribuutVaikimisi SameSite=Lax[See toiming kehtib versioonidele pärast seda, kui Google avaldas Chrome 80 stabiilse versiooni 4. veebruaril 2019]



Ükski: Piirangut pole.

Secure atribuut tuleb samuti seadistada (küpsiseid saab saata ainult HTTPS protokolli kaudu), vastasel juhul see ei kehti. [See toiming kehtib versioonidele pärast seda, kui Google avaldas Chrome 80 stabiilse versiooni 4. veebruaril 2019]


Testi SameSite omadust

Laadime dünaamiliselt pildi asukohast A läbi F12 konsooli saidil A, kood on järgmine:

Võrgupäringust näeme, et kui sait A küsib saidi A domeeninimest pilti, siisKanna küpsiseid(SameSite'il puuduvad seaded, st Lax), nagu alloleval pildil näidatud:



Leiame juhuslikult B-koha ja seejärel laeme dünaamiliselt A saidi pildi ning leiame selleEi kannaIga küpsis, nagu allpool näidatud:



(Lõpp)





Eelmine:jQuery hide ei tööta, kaks lahendust
Järgmine:Nurkelement ngif peidetud nähtavus kuvatakse ja peidetakse

Seotud postitused
Postitatud 2022-4-17 21:20:07 |
Õpi õppima...
Disclaimer:
Kõik Code Farmer Networki poolt avaldatud tarkvara, programmeerimismaterjalid või artiklid on mõeldud ainult õppimiseks ja uurimistööks; Ülaltoodud sisu ei tohi kasutada ärilistel ega ebaseaduslikel eesmärkidel, vastasel juhul kannavad kasutajad kõik tagajärjed. Selle saidi info pärineb internetist ning autoriõiguste vaidlused ei ole selle saidiga seotud. Ülaltoodud sisu tuleb oma arvutist täielikult kustutada 24 tunni jooksul pärast allalaadimist. Kui sulle programm meeldib, palun toeta originaaltarkvara, osta registreerimist ja saa paremaid ehtsaid teenuseid. Kui esineb rikkumist, palun võtke meiega ühendust e-posti teel.
Mail To:help@itsvse.com